|
protocollo per trasmissioni punto-punto
(Point-to-Point Protocol)
|
Un protocollo che consente di connettere un computer a Internet via linea telefonica commutata, mantenendo gran parte delle prerogative che si avrebbero con un collegamento diretto. Tra le più importanti di queste prerogative abbiamo la possibilità di usare un browser Web, come Mosaic, Netscape Navigator o Internet Explorer.Il PPP viene tipicamente considerato migliore dello SLIP (Serial Line Internet Protocol) poichè, a differenza di quest'ultimo, esegue la correzione automatica degli errori, la compressione dei dati trasmessi, l'autenticazione della password e assicura un miglior rendimento teorico (non sempre realizzato nella realtà). Qualsiasi computer che disponga di un numero IP può connettersi a Internet usando modem ad alta velocità. PPP è in grado di iniziare e terminare una sessione, come pure interrompere una chiamata e richiamare lo stesso numero nel caso in cui la linea sia particolarmente disturbata (questa funzione deve essere attivata dal particolare programma usato per eseguire la chiamata via modem). Il PPP incapsula i comuni protocolli di livello rete (terzo livello OSI) all'interno di pacchetti specializzati. Due esempi in questo senso sono il IPCP (IP su PPP) e il IPXCP (l'IPX su PPP). Può essere utilizzato come sostituto del driver di rete così che gli utenti remoti possano collegarsi alla LAN come se fossero in locale. I protocolli usati per l'autenticazione della password sono il Password Authentication Protocol (PAP) e il Challenge Handshake Authentication Protocol (CHAP). Le specifiche del protocollo sono contenute nell'RFC 1661 (che rende obsolela l'RFC 1548).Spiegazione dettagliata:
PPP (Point-to-Point Protocol)
Nato nel dicembre 1993 e perfezionano nel luglio 1994 per iniziativa di
William Allen Simpson (autodefinitosi sognatore ad occhi aperti), il PPP è
il più largamente usato tra i protocolli Internet visto che costituisce lo
strumento principe per accedere alla Rete per mezzo di un modem. Esso
rappresenta un vettore per altri protocolli che, lasciati a se stessi, non
potrebbero viaggiare su una linea punto-punto, vale a dire una linea
telefonica o qualsiasi altra connessione su lunga distanza che veda ai
propri estremi un solo destinatario e un solo mittente. Nella sua versione
nativa, il protocollo TCP/IP funziona solamente in rete locale e necessita
un vettore per muoversi su una rete geografica. Quando ci colleghiamo da
casa, da un albergo o anche dall'ufficio mediante una linea a lunga
distanza, l'unico punto di contatto possibile con il sistema all'altro
capo è il modem oppure un dispositivo analogo (come un'interfaccia ISDN)
e dobbiamo dipendere da questo per inviare le nostre richieste su Internet
e ricevere le risposte. All'altro capo della linea c'è un sistema che
funge da intermediario tra noi e la rete e che può essere un altro
computer oppure un router.
Il PPP è progettato per veicolare numerosi protocolli su una sola linea,
il più comune tra questi è naturalmente l'Intenet Protocol (IP) il quale
a sua volta funge da vettore per altri protocolli applicativi di grande
interesse come l'HTTP (HyperText Transfer Protocol) per la consultazione
di pagine Web, l'FTP (File Transfer Protocol) per il trasferimento di
file a distanza, l'SMTP (Simple Mail Transfer Protocol) per l'inivio dei
messaggi di posta elettronica, il POP3 (Post Office Protocol) per la copia
in locale dei messaggi presenti nella nostra casella postale, l'NNTP (
Network News Transfer Protocol) per la consultazione di newsgroup e
qualsiasi altro protocollo sia utile durante una sessione di collegamento
con Internet. Il PPP li contiene tutti come una sorta di busta in cui
s'inseriscono altre buste per spedirle a un singolo destinatario. È come
raccogliere all'ufficio posta tutte le missive interne destinate a una
filiale e inviarle all'ufficio posta all'altro estremo usando un singolo
pacco. L'ufficio posta della filiale aprirà il pacco e distribuirà le
lettere ai singoli destinatari, restituendoci un secondo pacco con le
risposte.
Il PPP ha una missione è triplice. Deve incapsulare i pacchetti generati
dagli altri protocolli (datagrammi) all'interno di un singolo pacchetto.
Deve attivare la connessione con il sistema remoto, configurarla e
collaudarla. Deve disporre degli strumenti per controllare al proprio
interno il flusso di tutti gli altri protocolli.
Il Link Control Protocol
La primissima fase d'intervento del PPP è nel creare la connessione con
il sistema remoto. Ogni volta che ci si collega con una macchina distante
è necessario negoziare i parametri di lavoro che verranno usati nel corso
della connessione. Questo viene fatto in primo luogo dal modem che si
accorda con il modem all'altro estremo su quale sarà la velocità di
trasferimento e la compressione dei dati con correzione di errore da
eseguire a livello fisico tra i due apparecchi. Tale prima fase rimane del
tutto trasparente al PPP. Una volta che i modem hanno instaurato il legame
fisico, i due sistemi si possono parlare e a questo punto devono mettersi
d'accordo su quale formato d'incapsulamento utilizzare, sulla dimensione
da assegnare ai pacchetti in transito e sulle modalità per porre fine al
collegamento una volta che la sessione sia terminata.
Tale negoziato è affidato a un protocollo specializzato all'interno di
PPP, che si chiama Link Control Protocol. Quest'ultimo è responsabile per
identificare qualsiasi errore nella connessione e per assicurare che le
due macchine parlino la medesima lingua. Durante questa fase preliminare,
inoltre, si possono eseguire eventuali operazioni di autenticazione del
chiamante attraverso un altro protocollo specializzato, che può essere il
CHAP (Challenge Handshake Authentication Protocol) oppure il PAP (Password
Authentication Protocol). È in Link Control Protocol che si accorge se la
connessione è venuta a mancare oppure se sta funzionando male per qualche
difetto fisico e che segnala la cosa ai due computer interessati dal
collegamento.
Gli NCP tutto fare
Una volta che la connessione è stata attivata, i due computer sono pronti
a conversare ma non hanno ancora deciso che lingua utilizzare.
Probabilmente useranno il protocollo IP, ma prima devono attivare tutti
quei meccanismi che permetteranno d'incapsulare le trame IP nei pacchetti
PPP senza che l'IP se ne accorga. Uno di questi gradini preliminari è
l'assegnazione dell'indirizzo di rete. Lo standard vuole che tutte le
macchine collegate a Internet per scopi di navigazione dispongano di un
indirizzo IP univoco in tutto il mondo. Tale indirizzo serve per
identificare il mittente delle richieste e per sapere dove inviare le
risposte. Viene assegnato da enti internazionali che tengono un registro
di tutti gli indirizzi distribuiti. Naturalmente non è molto pratico che
ogni singolo navigatore Internet espleti le pratiche burocratiche per
richiederne uno proprio, anche perchè una delle condizioni per
l'assegnazione di questi indirizzi è che la macchina su cui verrà
utilizzato sia collegata a Internet in modo permanente, il che non
coincide con la nostra esigenza di usare il PPP per accedere alla Rete via
modem in modo saltuario. La soluzione consiste nell'affidare un gruppo
d'indirizzi a società che poi li distribuiscono ai propri utenti. Un
esempio classico è quello degli Internet Service Provider che amministrano
questi indirizzi fra tutti i propri iscritti. Tuttavia, l'ISP ha bisogno
di un sistema automatico per eseguire questa assegnazione: non è molto
pratico affidare un indirizzo a ciascun abbonato e poi tenerne una
registrazione puntuale. Inoltre l'abbonato si collega solo in certe ore
del giorno e sarebbe uno spreco riservargli un indirizzo a tempo pieno.
Infine l'abbonato potrebbe cambiare provider e continuare a usare
l'indirizzo vecchio con il nuovo provider provocando problemi di
configurazione per il nuovo e di approvvigionamento d'indirizzi per il
vecchio.
La soluzione consiste nell'assegnare dinamicamente un numero IP al
momento della connessione. Questo lavoro viene svolto dal Network Control
Protocol, il quale si occupa anche di selezionate anche qualsiasi altro
protocollo rete si debba utilizzare sulla connessione in aggiunta all'IP
(ad esempio l'IPX). Esiste in effetti un'intera famiglia di NCP,
ciascuno dedicato a uno scopo specifico e l'incapsulamento non si limita
al protocollo IP, ma abbraccia anche IPX e svariati altri protocolli
proprietari, tra cui quelli di Xerox, Banyan, Apple, Digital Equipment,
IBM SNA e altri ancora (vedi l'RFC 1700 o STD 2).
L'NCP per protocollo IP usa a sua volta protocollo dedicato, l'IPCP (IP
Control Protocol), che assomiglia all'LCP ma ha la prerogativa abilitare,
disabilitare e configurare i moduli IP a entrambi gli estremi della linea.
È questo il protocollo che negozia tutti i parametri specifici di questo
ambiente, come la compressione IP e TCP e l'assegnazione automatica
dell'indirizzo alla stazione remota. Inoltre l'IPCP blocca il flusso dei
pacchetti IP fino a quando la connessione non è stata instaurata per
intero, comprese le eventuali fasi di autenticazione del chiamante, e fa
in modo che nel campo dati del PPP non entrino più informazioni di quelle
che ci stanno e impone la frammentazione delle stesse in caso contrario.
Il protocollo che svolge funzioni analoghe per IPX si chiama IPXCP.
Facilità di configurazione
Dovendo essere usato da persone non esperte, il PPP è concepito per
semplificare il più possibile le modalità di collegamento. I parametri
impostati per difetto (default) sono idonei per la maggior parte delle
connessioni e le eventuali eccezioni vengono risolte automaticamente tra
le due macchine (definite peer o pari nel linguaggio tecnico) senza
intervento umano. Là dove il protocollo LCP riesce a eseguire solo una
negoziazione parziale, entrano in gioco uno o più NCP per sistemare il
resto. Di fatto è possibile usare qualsiasi tipo di connessione remota,
non solo il modem. Esistono infatti versioni del protocollo PPP progettate
per funzionare su linea ISDN, su rete X.25 e su fibra ottica ad alta
velocità.
Il formato della trama
Per costruire il proprio pacchetto d'informazioni, PPP s'ispira a un
vecchio protocollo, molto conosciuto nelle reti di grandi sistemi e nelle
reti pubbliche: HLDC (High-Level Data Link Control). Si tratta di un
protocollo nato per le connessioni sincrone (linee dedicate) perciò
presenta caratteristiche bit-oriented, tuttavia PPP usa la trama a proprio
modo e può quindi funzionare sia come protocollo sincrono bit-oriented sia
come protocollo byte-oriented per linee asincrone, usando 8 bit di dati e
nessuna parità (l'impostazione classica della porta seriale).
La prima parte della trama contiene un flag (segnalatore) che ha un valore
sempre fisso (7E espresso in cifre esadecimali), un indirizzo iniziale
(con valore fisso esadecimale FF) e un campo di controllo (esadecimale
03). Queste parti sono invariabili e identificano il tipo di pacchetto.
Segue immediatamente dopo l'indicazione del tipo di protocollo in uso.
All'inizio della sessione il valore di questo campo sarà 0021 per
indicare che si sta usando il Link Control Protocol per negoziare i primi
parametri di connessione. Subito dopo subentra l'NCP (8021) e
l'eventuale protocollo di autenticazione: PAP (C023) o CHAP (C223). Nel
caso si voglia mantenere sotto controllo la qualità del collegamento è
possibile ricorrere a un altro protocollo chiamato Link Quality Report che
c'informa su quante informazioni da noi trasmesse sono andate perdute
lungo la linea. Una volta terminati questi preamboli, possiamo chiamare in
causa il protocollo di trasporto vero e proprio che sarà IP, TCP o altro.
Segue un campo dedicato ai dati (cioè al datagramma IP che viene
incapsulato nel pacchetto PPP) e che corrisponde, come dimensione massima,
alla capienza di una trama Ethernet. Non a caso Internet è nata proprio
usando Ethernet tra i suoi fondamenti primari.
Il pacchetto PPP si chiude con la classica sequenza di verifica (Frame
Check Sequence) calcolata sull'intera trama, compreso il campo indirizzo
e il campo di controllo iniziali. Segue un altro flag che separa la trama
corrente da quella successiva.
Caratteri speciali
Come tutti i protocolli asincroni byte-oriented, anche PPP usa alcuni
caratteri speciali per regolare lo scambio di dati tra le due macchine. Il
più importante fra questi è il carattere 7E (flag) usato come
riconoscimento dell'inizio e della fine della trama. Grazie alla sua
presenza non c'è bisogno di mantenere i due sistemi sincronizzati tra di
loro attraverso qualche congegno di temporizzazione: basta che il
destinatario resti in ascolto del carattere 7E (valore decimale126 -
carattere ASCII € tilde) per determinare i confini del pacchetto. In
virtù di questo fatto, come in tutti i protocolli di tipo byte-oriented,
il medesimo carattere non può essere utilizzato all'interno del campo
dati perchè provocherebbe l'interruzione prematura della trasmissione.
D'altro canto, rispettare questo limite equivarrebbe a impedire la
trasmissione di file binari, cioè i file di programma, che possono
contenere qualsiasi sequenza di bit, incluso 7E, e che costituiscono una
delle risorse più interessanti per navigatori Internet (pensiamo ai vari
shareware, ai driver, agli aggiornamenti software gratuiti). La soluzione
consiste nell'istruire il protocollo PPP di ¤saltare" (escape) il
carattere quando lo incontra all'interno del campo dati. Ma poichè il
computer non ha altro modo per sapere quali siano i confini del campo dati
se non proprio attendere l'arrivo del carattere 7E, si richiede la
sostituzione di tutti i caratteri 7E contenuti nel campo dati con una
coppia di caratteri alternativa, ma riconoscibile. A questo si arriva
usando un altro carattere speciale chiamato ¤escape" che si scrive 7D
(valore decimale 125 - carattere ASCII } graffa chiusa) che serve
segnalare che il carattere immediatamente successivo non è ciò che sembra,
bensì costituisce in realtà la trasformazione di un carattere precedente
che non poteva essere trasmesso nella sua forma originale.
Quando la macchina in ricezione incontra il carattere 7D, sa che deve
elaborare quello successivo e recuperare il carattere originale.
L'elaborazione consiste nel prendere il sesto bit del carattere in
questione e complementarlo (trasformarlo in 0 nel caso sia un 1 oppure
viceversa). Facciamo un esempio prendendo appunto il carattere di flag 7E
che scritto in notazione binaria diventa 0111 1111, cambiamo il suo sesto
bit e otteniamo questa nuova sequenza: 0101 1111 che corrisponde alla
notazione esadecimale 5D. In trasmissione, ogni volta che nel campo dati
compare 7E, il protocollo sostituirà automaticamente la coppia di
caratteri 7D,5D. All'altro capo, il protocollo di ricezione eseguirà
'operazione inversa 7D,5D = 7E. Questa regola vale per qualsiasi c
arattere speciale che debba filtrare attraverso le maglie dei vari
protocolli in gioco senza provocare conseguenze. Prendiamo l'esempio di
un file che contenga il carattere 7D (cioè il carattere di escape).
Applichiamo lo stesso sistema e perciò avremo una sequenza 7D,5D = 7D.
Tutti i caratteri che hanno un valore esadecimale inferiore a 20 vengono
trattati nello stesso modo. Infatti nel codice ASCII i primi trentadue
caratteri (da 00 a 20 esadecimale) possono rappresentare comandi
interpretabili dal modem oppure dalla stampante. In questa regione
troviamo infatti il comando di avanzamento riga, di avanzamento pagina, di
ritorno a capo, di cancellazione all'indietro e altro ancora. Il
meccanismo di filtraggio è sempre il medesimo: li si fa precedere dal co
dice 7D seguito da un codice esadecimale calcolato trasformando il sesto
bit del numero originale. Perchè il sesto bit? Perchè 0010 0000
corrisponde al numero esadecimale 20, cioè alla soglia dalla quale
vogliamo cominciare ad applicare questo filtro, e se prendiamo questo
numero e lo sovrapponiamo a un qualsiasi altro numero esadecimale con
un'operazione di OR esclusivo, vediamo che l'effetto prodotto è una
complementazione del sesto bit a partire da destra. Se già sappiamo che
alcuni dei primi 32 caratteri ASCII sono innocui, possiamo usare il Link
Control Protocol per specificare quali di questi caratteri lasciar
transitare senza codifica di escape.
In fase di trasmissione su linea telefonica, di solito vengono soppressi i
campi indirizzo e controllo, che sono sempre uguali e possono essere
aggiunti nuovamente all'altro estremo quando la trama viene ricostruita
dalla stazione ricevente. La decisione di comprimere l'intestazione della
trama può anche essere unilaterale: il mittente tralascia di spedire il
campo indirizzo e controllo e il ricevente legge la trama e, non
incontrando i valori FF e 03, suppone che siano stati omessi, perciò li
aggiunge di propria iniziativa.
Le specifiche primarie del protocollo PPP sono contenute nell'RFC 1661,
ma più di una dozzina di altre RFC collegate descrivono le modalità per
incapsulare i diversi protocolli nei pacchetti PPP e descrivono in che
modo eseguire il negoziato iniziale e tenere sotto controllo la qualità
della linea. Tra le RFC accessorie merita attenzione la 1334 dedicata
all'autenticazione degli accessi.
Controllo degli accessi
Abbiamo visto che, una volta completata la predisposizione della
connessione attraverso LCP, capita sovente che il sistema chieda
un'identificazione. Esistono due modalità per fornire nome e password. La
prima consiste nel protocollo PAP (Password Authentication Protocol) il
quale attende che la connessione sia attiva dopo di che continua a inviare
la coppia ¤nome/password" fino a quando il terminale remoto risponde
convalidando l'accesso oppure negandolo e terminando la connessione.
Questo non è un approccio molto sicuro visto che la password viaggia sulla
rete in chiaro e chiunque potrebbe intercettarla. Inoltre il sistema può
essere bombardato da ripetuti tentativi di accesso da parte di un utente
esterno che prova numerose combinazioni fino a quando ne azzecca una. È
l'utente in remoto che ha la piena discrezione sulla frequenza e la
durata dei propri tentativi di accesso.
Il protocollo CHAP (Challenge Handshake Authentication Protocol) è più
robusto poichè verifica periodicamente l'identità del sistema remoto
usando un sistema di handshake (sincronizzazione) a tre vie. L'operazione
viene seguita nel momento in cui la connessione è attivata e può essere
ripetuta dopo. Non appena la connessione è completa, CHAP manda un
messaggio di altolà (challenge) al sistema dell'utente il quale esegue un
calcolo sul messaggio ricevuto basandosi su un matrice in proprio possesso
e spedisce la risposta al sistema centrale. Quest'ultimo, che nel fra
ttempo ha eseguito il medesimo calcolo, confronta i risultati e in caso
affermativo abilita l'accesso, oppure lo nega. Il calcolo si basa su un
sistema one-way hash.
Ogni volta che invia un altolà (challenge), il sistema autenticatore
inserisce un numero progressivo all'interno del pacchetto, numero che
viene incrementato a ogni tentativo di connessione seguente.
Contemporaneamente modifica anche il contenuto del pacchetto di challenge
così da riportare sotto il proprio controllo la frequenza e la durata
delle operazioni di autenticazione e riducendo il rischio di attacchi. Per
funzionare, questo meccanismo richiede l'esistenza di un ¤segreto" noto
unicamente al sistema centrale (autenticatore) e al sistema remoto (quello
che tenta l'accesso). Segreto che non può essere trasferito sulla rete,
ma deve essere recapitato in modo sicuro per vie diverse. La lunghezza del
segreto deve essere di almeno 8 bit, ma la sicurezza aumenta in
proporzione alla lunghezza e negli Stati Uniti la maggiore protezione oggi
raggiungibile è con 128 bit. Il sistema one-way hash viene scelto in modo
che sia praticamente impossibile risalire al segreto partendo
semplicemente dal messaggio di challenge e dalla risposta. Il messaggio di
challenge deve essere unico nel suo genere (per consentire il login da
qualsiasi parte del mondo) e imprevedibile. Se fosse prevedibile,
l'intruso potrebbe intrufolarsi fornendo uno dei challenge precedentemente
intercettati.
La qualità del sistema di protezione dipende in larga misura
dall'applicazione che ne fa uso. Il protocollo PPP fornisce unicamente
gli strumenti per trasportare le informazioni, mentre tutte le funzioni di
autenticazione vengono svolte altrove, con criteri diversi a seconda dei
Paesi in cui si svolgono. Ad esempio, la tecnologia one-way hash 128
esistente negli USA non può essere esportata in Europa in quanto
¤munizione" protetta dalla legislazione statunitense. Esistono soluzioni
a 128 bit europee, ma non sono disponibili a tutti.
Gli standard pubblicati su PPP
Documenti primari
RFC 1661 standard primario aggiornato
RFC 1548 standard obsoleto sostituito dalla RFC 1661
RFC 1549 formattazione delle trame PPP in trame HDLC
RFC 1552 ipx su PPP (IPXCP)
RFC 1570 estensioni LCP
RFC 1598 PPP su X.25
RFC 1618 PPP su ISDN
RFC 1619 PPP su SONET/SDH
RFC 1638 PPP Bridging Control Protocol
RFC 1662 altro sulla formattazione di trame PPP in trame HDLC
RFC 1663 trasmissione affidabile dei dati
RFC 1762 DECnet su PPP
RFC 1763 Banyan VINES su PPP
RFC 1764 protocolli Xerox su PPP
RFC 1841 Network Control Protocol con estensioni lan (per router
remoti)
RFC 1877 estensioni ai name address server
RFC 1915 Connection Control Protocol ed Encryption Control Protocol
Documenti collegati
RFC 1332 Network Control Protocol per connessione ip su PPP (IPCP)
RFC 1333 monitoraggio sulla qualità della connessione
RFC 1334 protocolli di autenticazione per PPP (CHAP e PAP)
�
|
|